Attacco “hacker” globale o pessime scelte imprenditoriali? Facciamo un po’ di chiarezza
Attacco “hacker” globale o pessime scelte imprenditoriali? Facciamo un po’ di chiarezza.
Sta facendo molto scalpore, in queste ore, la notizia di un presunto “gigantesco attacco hacker globale” a carico di server basati su “VMware ESXi” (un diffusissimo software di virtualizzazione) sparsi in tutto il mondo.
Cosa c’è di vero?
L’attacco è vero, ma le dimensioni reali – al di fuori dell’enfasi mediatica – sono tutto sommato modeste, interessando “solo” qualche migliaio di server su base mondiale.
Quanto è grave?
Per chi lo subisce è decisamente grave, probabilmente catastrofico… come tutti gli attacchi ransomware, peraltro. Tieni presente che, in generale, circa l’80% delle PMI che subiscono un attacco cyber perdono dati essenziali e hanno un’elevata probabilità di chiudere.
Come ti puoi difendere?
Come avrai già letto, l’attacco sfrutta la vulnerabilità CVE-2021-21974 dei server VMware ESXi, una “debolezza” identificata e risolta con una patch di sicurezza.
Una patch, è bene sottolinearlo, rilasciata da VMware ben 24 mesi fa: installarla era semplice e gratuito, una banale e quotidiana procedura di buona manutenzione. Chi l’ha installata, può stare tranquillo; chi non l’ha fatto, invece, invece, è ad alto rischio.
Quanto ti devi preoccupare?
Dipende!
- Se nella tua Azienda l’infrastruttura e i servizi IT sono visti come un investimento strategico essenziale e non solo come un “costo”;
- Se i tuoi server sono gestiti da personale esperto, con la corretta autonomia decisionale e un budget appropriato;
- Se hai licenze, apparati di sicurezza, applicativi e sistemi aggiornati e correttamente manutenuti
Allora è del tutto verosimile che la patch sia stata correttamente identificata e installata: puoi stare tranquillo.
Se, al contrario:
- nella tua Azienda l’infrastruttura e i servizi IT sono visto solo come un “costo” e non come un investimento strategico
- i tuoi server sono gestiti da collaboratori afflitti da insufficiente autonomia decisionale e/o budget inadeguati;
- hai licenze, apparati di sicurezza, applicativi e sistemi non aggiornati
Beh! In questo caso non serve per forza un “attacco globale”, prima o poi la tua infrastruttura sarà “bucata”, si fermerà e probabilmente perderai i tuoi dati. E’ solo questione di tempo.
Qual è la soluzione?
Una sola: una diversa cultura imprenditoriale/manageriale.
E’ urgente e necessario che il management aziendale prenda finalmente consapevolezza che:
- gli attacchi cyber sono oggi una quotidiana realtà per OGNI Azienda, a prescindere da dimensioni e criticità di informazioni trattate
- le PMI che subiscono un attacco cyber spesso finiscono per chiudere
- infrastruttura IT, cybersecurity e corretta protezione dei dati sono oggi asset strategici essenziali per la prosperità e la sopravvivenza aziendale
La nostra proposta: il servizio IT-Full Care
IT Full Care è un piano di assistenza e gestione IT modulare e flessibile, che si modella e adatta alle esigenze di ogni singola Azienda.
Quando in Azienda sono presenti un IT Manager o altri collaboratori che si occupano dei sistemi IT, il piano IT-Full Care si adatta e si integra con le risorse esistenti, sviluppandosi a seconda dei casi, in affiancamento e appoggio, in autonomia e collaborazione oppure in autonomia con compiti di coordinamento, in base alle specifiche esigenze e alle caratteristiche di ogni singola realtà aziendale.
Chiamateci, troviamo insieme la soluzione: quella giusta per voi.
Training Anti-phishing
Addestramento anti-Phishing per tutelare la tua azienda
Alchimie Digitali è in grado di addestrare e formare le organizzazioni su tutti gli aspetti relativi alla sicurezza delle informazioni, concentrandosi con particolare attenzione su quella che è riconosciuta come la principale criticità delle aziende pubbliche e private: Il phishing.
Grazie al nostro esclusivo programma di formazione, incrementiamo la resistenza dei tuoi collaboratori e della tua Impresa a tutti le tipologie di attacco:
- Phishing tradizionale
- Spear phishing. (phishing mirato alla singola persona o azienda)
- Whaling. (phishing rivolto a quadri e direzione)
- Vishing. (voice phishing)
- Phishing tramite email.
La formazione mirata degli operatori viene messa alla prova e potenziata da test concreti finalizzati all’apprendimento empirico, massimizzando l’efficacia dell’addestramento ed aumentando sia il livello di consapevolezza ed attenzione ai pericoli, sia la capacità di agire/reagire tempestivamente.
IL PHISHING – DEFINIZIONE
Il phishing (alle volte si trova erroneamente italianizzato e scritto “Fishing”) è tutt’oggi uno degli strumenti più efficaci e diffusi, per riuscire ad introdursi nei sistemi informatici altrui, sia per prenderne il controllo (al fine di ricattare il bersaglio), sia per tentare di truffarlo.
Per non caderne vittime, è necessario riconoscere rapidamente e prontamente la minaccia (quanti di noi prima cliccano e poi leggono effettivamente quanto hanno cliccato…): per questo è necessario un addestramento mirato, che istruisca ad intuire il pericolo e reagire in modo adeguato. Le nostre simulazioni di attacco, hanno esattamente questo scopo: aumentare la consapevolezza e la capacità di reazione dei vostri collaboratori, riducendo al minimo il rischio che vengano tratti inganno, mettendo a repentaglio la sicurezza dell’azienda/ente.
Ricordiamo che una campagna di phishing riuscita – come evidenziato dai recenti incidenti legati ai Ransomware e ai conseguenti Data Breach – può consentire ai criminali informatici una vasta serie di operazioni, che vanno dal controllo della posizione degli utenti, al furto di credenziali di valore strategico, dall’intrusione permanente, al dirottamento di pagamenti e bonifici, fino ad arrivare ai danni infrastrutturali.
COME FUNZIONA L’ADDESTRAMENTO ANTI PHISHING
- SIMULAZIONE ATTACCO
Mediante la nostra piattaforma, inviamo comunicazioni, che simulano un vero tentativo di attacco (ad es. form di registrazione falsi ed email ingannevoli) - FORMAZIONE
Anche alla luce dei risultati riscontrati, formiamo i vostri utenti in modo mirato per potenziarne in modo specifico la consapevolezza e la resistenza ad ulteriori tentativi di inganno e truffa. - NUOVA SIMULAZIONE DI ATTACCO
per verificare l’efficacia della formazione sulla stessa tipologia di minaccia o per un nuovo ciclo con mail di spear phishing o whaling - EVENTUALE NUOVA SESSIONE FORMATIVA
↕️ - RENDICONTAZIONE FINALE: l’Azienda riceve una valutazione conclusiva del livello di rischio residuo rispetto ad eventuali ulteriori attacchi.
L’ADDESTRAMENTO ANTI PHISHING COME MISURA DI SICUREZZA
La relazione finale sull’esito dell’addestramento è concepita per irrobustire ed integrare la documentazione necessaria alla compliance al GDPR dell’azienda. In particolare può essere considerato, in ottica di accountability, un documento utile ad attestare la riduzione del rischio sui trattamenti dei dati che l’azienda effettua, andando a evidenziare tutti gli indicatori che consentono di definire una chiara rappresentazione del rischio e dell’effettiva utilità del processo intrapreso.
La relazione finale è coadiuvata da un pannello di controllo, capace di mostrare sia una vista in tempo reale che una vista cronologica degli esiti delle campagne.
VUOI SAPERNE DI PIU’ SUL SERVIZIO ANTI PHISHING TRAINING?
Siamo Partner del corso “IL CYBERBULLISMO IN ETÀ SCOLARE”
Alchimie Digitali è partner del Corso riconosciuto MIUR (Dir. 170/2016) “IL CYBERBULLISMO IN ETÀ SCOLARE”.
Quest’ultimo offre una vasta panoramica delle attività, mode ed abitudini nell’uso delle tecnologie di internet dei giovani in età scolare, fornendo chiavi di lettura dei comportamenti che evidenziano fattori di rischio derivanti da dinamiche di aggressione digitale e cyberbullismo. Fornisce inoltre strumenti di prevenzione che includono regole di comportamento, strategie per affrontare le aggressioni e nozioni di informatica di base. Ampio spazio viene dato all’analisi di casi reali, utile a sviluppare una conoscenza concreta del fenomeno calata nell’esperienza quotidiana della scuola.
Il metodo utilizzato è lo Zanshin Tech di cui spesso vi abbiamo parlato attraverso i nostri articoli e social, disciplina nata in maniera specifica per affrontare le aggressioni digitali ed il cyberbullismo, promuovendo la cyber security nel tentativo di riconoscere e prevenire le aggressioni digitali.
Il corso di svolgerà in modalità ONLINE ed avrà una durata di 22 ore, suddivise in moduli di 2 ore, alla fine delle quali vi verranno rilasciati:
- Attestato MIUR per i docenti scolastici
- Certificato delle competenze D. Lgs 13/2013
Per avere maggiori informazioni su programma e costi visita il sito della S.F.I.T. Scuola di formazione insegnanti e tecnici.
Commenti recenti